1

RiesgosApunte de referencias

Parte 1

Profesor Sr Carlos Valdivieso Valenzuela

2

2

Introducción • Este apunte se ha preparado para ayudar en labores

académicas.• La palabra riesgos ha aparecido para quedarse desde hace

ya años.• Se puede encontrar en: libros, documentos normativos,

frameworks, etc., tanto en Chile como en el extranjero. Son muchas páginas, a veces en términos áridos, donde cuesta visualizar en términos simples los conceptos básicos.

• La mayoría de las publicaciones está en inglés.• Al escribir este apunte sencillo en este tema al cual he

estado ligado por unos 20 años tanto profesional como académicamente, pretendo citar definiciones y usos cuyas referencias se indican para que los alumnos tengan un marco de contexto que les facilite sus lecturas y análisis; es por tanto algo introductorio que no tiene otra

ambición; de ahí que este documento se llama simplemente Apunte.

Nota : La ISO 31.000 y la Guía 73 se pueden comprar en la dirección que indico

• UNIDAD VENTA DE NORMAS - INN• Matías Cousiño 64 - Piso 5 - Santiago Centro - Chile• Horario de atención: Lunes a Viernes de 9:00 a 16.30 horas, horario continuado• www.inn.cl•  

3

3

ALGUNAS DEFINICIONES• Riesgo «Efecto de la incertidumbre sobre los objetivos «• Nota 1 «Un efecto es una desviación positiva y / o negativa

respecto a lo previsto»• Nota 2 «Los objetivos pueden tener diferentes aspectos

( tales como financieros, de salud y de seguridad o ambientales ) y se pueden aplicar a diferentes niveles ( tales como ,nivel estratégico, nivel de un proyecto , de un producto, de un proceso o de una organización completa».

• Fuente : Guía 73 de ISO 31.000___________________________________________• Comentarios• 1. Antes se asociaba riesgos sólo a pérdidas y aspectos negativos;

hoy también involucra desviaciones positivas las que deben evaluarse.

• Riesgos aparece asociado con los objetivos de la empresa; el orden es Misión, de ahí derivan los objetivos y de ahí los riesgos primarios, los subjetivos los riesgos secundarios, los factores de riesgos, los eventos de riesgos y las actividades de control

• Sin asumir riesgos, suele no haber negocios Fuente profesor Carlos Valdivieso

4

4

ALGUNAS DEFINICIONES• Gestión de riesgos « Actividades coordinadas para dirigir

y controlar una organización en lo relativo al riesgo.»• Fuente : Guía 73 de ISO 31.000• Proceso de gestión de riesgos “Aplicación sistemática

de políticas, procedimientos y prácticas de gestión a las actividades de comunicación , consulta, establecimiento del contexto e identificación , análisis , valoración , tratamiento , monitoreo y revisión del riesgo”

• Fuente : Guía 73 de ISO 31.000__________________________________--• Comentarios• Concepto de proceso como una secuencia de actividades

que tienen un producto , teniendo sistematización , etapas, roles, sistemas y encargados, ej. proceso de crédito hipotecario. El concepto de proceso tuvo su origen hace años en Ingeniería Química.

• Gestión de riesgos debe administrarse como un proceso que tiene que estar documentado.

• Fuente profesor Carlos Valdivieso

5

5

ALGUNAS DEFINICIONES• Política de gestión de riesgos. "Declaración de

intenciones y orientaciones globales de una organización en relación con la gestión del riesgo.»

• Fuente : Guía 73 de ISO 31.000• Comentarios• Debe estar por escrito y preferentemente aprobada por el

Directorio.• Requiere sea conocida por todo el personal.• Está en la base de la Administración de la Empresa.• Fuente profesor Carlos Valdivieso

6

6

ALGUNAS DEFINICIONES• Apetito de riesgo. « cantidad y tipo de riesgo que una

organización está dispuesta a buscar o retener «• Fuente : Guía 73 de ISO 31.000• Comentarios• Debe ser cuantitativo y para cada riesgo primario ,

ejemplo . Una Compañía de Seguros de Vida puede definir que NO tiene apetito de riesgo en tener inversiones en Renta Variable ( acciones ) y otra que sí tiene apetito con este riesgo y por tanto invierte en acciones.

• Aquella que invierte acota su apetito por ejemplo hasta el 10 % de sus inversiones .

• La tolerancia suele ( no siempre ) cuantificar hasta cuánto puede exceder el límite fijado; ej. hasta 12 %

• Si no se cuantifica para cada riesgo, el apetito , no da luces y dificulta su control.

• He ayudado a definir apetitos para todos los riesgos primarios y he visto cómo el Comité de Riesgos revisa cada cierto tiempo los apetitos reales. Esto es necesario y posible.

• Fuente profesor Carlos Valdivieso

7

7

ALGUNAS DEFINICIONES• Matriz de Riesgos• «Herramienta que permite clasificar y visualizar los

riesgos mediante la definición de categorías de consecuencias y de su probabilidad «

• Fuente : Guía 73 de ISO 31.000• Comentarios• La definición está para entendidos, es más simple recordar

lo que es una matriz, son filas y columnas, en las filas están los riesgos primarios y en las columnas los secundarios, luego se definen y se pesan.

• Lo importante es que cada empresa defina sus riesgos primarios y los secundarios.

• Se acompaña un ejemplo teórico de un banco; el Excel es uno que uso en clases.

• Fuente profesor Carlos Valdivieso

8

8

ALGUNAS DEFINICIONES• Matriz de Riesgos Va un ejercicio de matriz teórica para darse una idea de un Banco X: en la primera fila van los riesgos primarios, en las columnas los secundarios y en cada un de estos deben luego explicitarse los elementos de riesgos.La valorización requiere de una metodología que veremos en clase; por ahora son valores inventados; todo lo cual debe dar 100%Por mientras, lo importante es que se queden con una idea lo más clara posible de lo que es una Matriz de Riesgos.Para abrir el excel pongan tecla Esc y luego abran ; o sea, no lo pueden hacer con pantalla completa.Fuente : Profesor Carlos Valdivieso

Hoja de cálculo de Microsoft Excel 97-200

9

9

VEAMOS OTRA LISTA DE RIESGOS

• Ejemplo la de SVS en su Norma de Carácter General 325 para Compañías de Seguros.

• http://www.svs.gob.cl/normativa/ncg_325_2011.pdf• Otro ejemplo de SVS en su Norma de Carácter General

309 para Compañías de Seguros.• http://www.svs.cl/normativa/ncg_309_2011.pdf• Otro ejemplo es el Comité de Basilea para Bancos cuando

tiene tres categorías de riesgos primarios :Crédito, Mercado y Operacional y este lo desglosa.

• http://sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf

• Veremos en clases ejercicios de cada cual en función de la empresa en que trabajan que hagan un intento inicial de su Matriz de Riesgos.

10

10

ALGUNAS DEFINICIONES

• Riesgo residual « Riesgo remanente después del tratamiento del riesgo»Fuente : Guía 73 de ISO 31.000Comentarios• Es el que queda después de aplicar los controles; suele

llamarse riesgo no mitigado.• Veremos en clases un modelo cuantitativo para pesar los

riesgos, los procesos, los eventos de riesgos y los controles.

• Como resultado, se obtiene un riesgo residual cuantitativo de cada proceso y consolidadamente de la empresa como un todo.

• Ej. el riesgo residual total es 18 %• Fuente profesor Carlos Valdivieso

11

11

ALGUNAS DEFINICIONES

• Monitoreo « Verificación, supervisión ,observación crítica o determinación del estado con objeto de identificar de una manera continua los cambios que se pueden producir en el nivel de desempeño requerido o esperado «Fuente : Guía 73 de ISO 31.000Comentarios• Es cada vez más indispensable hacerlo con aplicaciones

informáticas.• Ej. un Banco mediano en Chile suele tener unas 5 millones

de transacciones computacionales diarias.• Según consulté directamente a un conocido mío brasilero ,

el que tiene más en Latinoamérica es un Banco brasilero que tiene unas 100 millones de transacciones computacionales diarias.

• Hacer un monitoreo eficiente, requiere y así lo usan ahí, de una aplicación informática.

• Fuente profesor Carlos Valdivieso

12

12

ALGUNAS DEFINICIONES

• Auditoría de la gestión del riesgo• « Proceso sistemático, independiente y documentado

destinado a obtener evidencias y evaluarlas objetivamente a fin de determinar el grado de adecuación y de eficacia del marco de trabajo de la gestión del riesgo «

• Fuente : Guía 73 de ISO 31.000• Comentarios• Es indispensable tener de auditor en cada proceso a

alguien que lo conozca bien.• Es recomendable tener levantados los mapas de riesgo, los

eventos de riesgos y los controles.• Mi experiencia es que, para un mayor alcance se

recomienda el autocontrol y revisiones selectivas de auditoría sobre esos autocontroles.

• Fuente profesor Carlos Valdivieso

13

13

COSO 2013 Y COSO ERM 2004 Y LOS RIESGOS

• Ambos son complementarios.• COSO ERM tiene mejor enfoque y amplitud para riesgos,

incluyendo la respuesta a los riesgos.• COSO si bien trata los riesgos ,es mejor solución para el

control interno.• Fuente profesor Carlos Valdivieso

14

14

COSO ERM Y COSO• COSO ERM ( 2004 ) COSO ( 2013 )

15

Control Environment

Risk Assessment

Control Activities

Information & Communication

Monitoring Activities

COSO 2013 Y SUS PRINCIPIOS DE RIESGO( MARCADOS CON ROJO )

1.Demonstrates commitment to integrity and ethical values2.Exercises oversight responsibility3.Establishes structure, authority and responsibility4.Demonstrates commitment to competence5.Enforces accountability

6.Specifies suitable objectives7.Identifies and analyzes risk8.Assesses fraud risk9.Identifies and analyzes significant change

10.Selects and develops control activities11. Selects and develops general controls over technology12.Deploys through policies and procedures

13.Uses relevant information14.Communicates internally15.Communicates externally

16.Conducts ongoing and/or separate evaluations17.Evaluates and communicates deficiencies

16

6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.

8. The organization considers the potential for fraud in assessing risks to the achievement of objectives.

9. The organization identifies and assesses changes that could significantly impact the system of internal control.

Risk Assessment

COSO 2013 Y SUS PRINCIPIOS DE RIESGO( MAYOR DETALLE )

17

17

PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS RESPECTO A COSO 1992

• La identificación de los objetivos relevantes, es una precondición para la evaluación de riesgos .El orden es MISIÓN, y objetivos para cumplir la Misión . De dichos objetivos derivan los primeros riesgos.• Establece la relación de los riesgos con las operaciones , informes y cumplimiento ( compliance)• Especifica que deben contemplarse la identificación de los riesgos, el análisis y sus respuestas .• Incluye las tolerancias al riesgo, como prerequisito.• Contempla que deben entenderse los cambios

significativos tanto de origen interno como externo y sus relaciones con los sistemas de control interno.

• Considera el riesgo de fraude y sus relaciones con los informes , como parte de la administración de riesgos.

18

18

COSO ERM

• Data del año 2004 , su definición dice:

• “The Enterprise Risk Management—Integrated Framework defines enterprise risk management as a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and to manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”

Comentarios• Pone énfasis en la estrategia, la identificación de los

riesgos, su administración como un proceso, el establecimiento de los apetitos de riesgos y lograr la seguridad razonable para alcanzar los objetivos.

19

19

COSO ERM Y COSO-RELACIONES• COSO ERM es fundamentalmente para Administración de

riesgos, incluyendo a COSO en lo relativo a Control interno.• COSO ERM es más amplio que COSO incluye las estrategias

( parte superior del cubo ) como algo previo y a un nivel superior y su relación con los objetivos de la empresa y tiene que ver con la misión y visión de la empresa. COSO no se involucra con las estrategias.

• En COSO ERM,debe determinarse los apetitos de riesgos y la tolerancia.Esto debe hacerse en forma precisa.

• COSO ERM incluye una desagregación de los objetivos estratégicos para llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO no lo hace.

• En COSO ERM, en event identification, conviene hacer un análisis FODA para a visualizar aspectos positivos que pueden ayudar en los negocios como las amenazas y posibles cursos de acción.

• En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con separar riesgos en : evitar, transferir y administrar.

20

20

COSO ERM Y COSO-RELACIONES• En risk response, debe tenerse con precisión como se

atiende cada riesgo y esto tiene que ver con los controles; COSO es más general.

• En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual .COSO no tiene este foco detallado.

• En entorno de control COSO ERM menciona el rol de los Directores independientes.

• COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona.

• COSO es más amplio en control de actividades y las relaciones con tecnología.

• En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información.

• En monitoreo ,COSO ERM incluye más precisión e involucra a entes externos.

21

21

COSO ERM Y RISK RESPONSE ( Respuestas )• COSO ERM agrega un elemento que es las respuestas a

los riesgos.

• Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga.

• De lo que se mitiga , para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento.

• Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM.

• COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos.

22

22

APETITO DE RIESGO Y TOLERANCIA AL RIESGO

• COSO ERM es explícito.

• El apetito de riesgo debe cuantificarse por cada riesgo; ya lo vimos.

• Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría.

23

23

RIESGOS Y UBICACIÓN DE CONTEXTO

• El tema es parte del Gobierno Corporativo.• Se recomienda comprar la ISO 31.000• Veremos y analizaremos en clase algunas diapositivas de

contexto y cómo se inscribe el tema de riesgos.• Con la ISO 31.000 pueden hacer un levantamiento de

cada punto, la comparación con la situación existente y los planes de acción.

24

24

TRES ENTIDADES RELACIONADAS

Ayudan alGobierno Corporativo

Fuente Profesor Carlos Valdivieso

MATRIZ de Riesgos

Adm y Control de Riesgos

ISO 31.000

25

25

Fuente: ISO 31000 – Traducción libre al español del profesor Carlos Valdivieso Valenzuela

26

Visión de Procesos

Visión deEntorno de Control

Visión Contable

Visión deClientes

ENFOQUEFuente: Profesor Sr Valdivieso

Visión deRRHH

DONDE

EN TERRENO MONITOREO AUTOCONTROL INCIDENTES AUDIRE EXTENSIÓN

27

27

Ranking IIA 2013- Analicemos en clases porqué en Latinoamérica Riesgos ocupa este lugar a diferencia del resto

del mundo. Aquí hay un tema pendiente

Tema Total todos los

continentes Africa Asia-. Pacífico Europe

Latin America

North America

Risk Management Effectivines 1 1 2 2 5 3Operational 2 5 4 4 4Information Technology 3 3 1 5 2 1Compliance / Regulatory 4 3 3 2Business Strategy 5 2 4 1 1 5Corporate Governance 4Cost Reduction / Containmemt 5Fraud 3

Fuente: Insitute of Internal Auditors respuestas de 1700 auditores en 111 países en el mundo- varios temas, ( Seleccionado Riesgos para nuestro curso ) Año 2013 publicado en abril 2013 -Tope

Five Areas of increased focus 2012-2013 Ranking

28

28

PARA COMPARTIR EXPERIENCIAS EN CLASES

1. La Administración de riesgos no es ni una ciencia ni una técnica que de certeza :los negocios y la naturaleza humana tienen de imprevisible; con todo, da una guía de navegación.

2. La cultura de la empresa en administración de riesgos es esencial, empezando desde el Directorio con sus definiciones y políticas escritas.

3. La parte ética ayuda y mucho.4. Los incentivos económicos deben estar alineados con la

administración de riesgos.5. Cada Gerencia y sus unidades deben manejar y controlar

sus riesgos.6. El riesgo financiero incluyendo derivados, ha mostrado

en la historia, grandes pérdidas; debe tenerse límites y controlarse.

7. La segregación de funciones entre lo comercial, lo operativo y la auditoría interna son indispensables.

8. Use los frameworks : COSO- COSO ERM-ISO 31.000 y otros como ayudas, pero las decisiones las toman seres humanos.